返回
电力企业APT安全防护策略研究

电力企业APT安全防护策略研究

ID:46528101

大小:337.60 KB

页数:3页

时间:2019-11-24

电力企业APT安全防护策略研究_第1页
电力企业APT安全防护策略研究_第2页
电力企业APT安全防护策略研究_第3页
资源描述:

《电力企业APT安全防护策略研究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、电力企业APT安全防护策略研究张富华1普钢1张睿2汪林娇2(1.云南电网有限责任公司云南650011;2.云南云电同方科技有限公司云南650217)【摘要】随着高级持续性威胁(APT)攻击的日益增多,国际形势的不断变化,电力企业日益成为可能遭受攻击的目标。本文通过对国内某电力企业进行安全防护现状调研,识别出现有防护体系的薄弱点,有针对性的设计了一套电力企业APT安全防护策略,并针对现有策略中的技术难点提出了后续需要研究的方向。【关键词】高级持续性威胁;信息安全;防护解决方案;电力企业中图分类号:TP393.08文献标识码:A文章编号:1009—6833(2

2、015)07—086—020引言根据目前网络空间的发展情况可以看到,APT攻击由于具备攻击的复杂性、针对性、长期性和隐蔽性,从而使其成为最佳的网络攻击武器。而电力行业因在国民生产生活中的关键性和重要性,则被动成为APT攻击的最佳目标。APT攻击对电力行业所造成的安全威胁是显而易见的。其中包括直接造成发电企业停止运转,区域内大规模停电,严重影响国民生产生活。对电力运营企业而言,则可能导致电力运营数据的泄露,间接导致国家生产经济数据的泄露以及用户身份信息的泄露。此外由于今年来APT攻击还存在着以彻底破坏为目的的攻击方式,因此对于电力行业而言,如果发生此类行为而

3、导致生产经营中关键系统、系统配置信息、生产经营数据信息的删除或损坏,即便相关企业具备相应的安全灾备措施,但由于电力行业的复杂性、关联性和庞大性,该攻击也势必造成生产经营的严重损失,产生巨大的社会负面影响。因此,对于电力行业而言,必须要加强和重视APT攻击,切实通过相关的管理及技术措施提高对APT攻击的安全防护能力。1某电力企业APT防护安全现状分析本项目据APT攻击链路模型,从APT攻击链路模型的七个阶段(情报收集阶段、攻击进入阶段、命令与控制阶段、横向扩展阶段、资产/资料发掘阶段、资料窃取阶段、潜伏与撤离阶段)梳理出各个阶段过程中的信息安全应对措施。通过

4、组对某电网公司信息安全防护安全现状进行了实地调研并根据A盯防护措施进行了针对性的安全现状分析。经过评估,某电力企业经过多年持续的信息安全建设已基本建立较为全面的信息安全管理防护体系。其中管理制度相对较全,具备了网络边界防护、主机终端防护、网络准入防护、漏洞补丁管理、数据加密、安全审计等安全防护技术手段,但面对APT攻击时仍然存在以下问题。1.1信息收集阶段的安全防护现状由于攻击者首先会锁定某一内部员工作为潜在受害者,一方面,通过社交网站,如微博、博客等,广泛搜集其信息,包括了解其兴趣爱好,爱逛的网站,朋友圈,甚至于受害者平时的行为模式等;另一方面,会尽量搜

5、集其所使用的全部电子设备,包括Pc、手机、路由器、智能电器,甚至于智能插座、体重计等的型号,操作系统的类型和版本、办公软件的类型和版本、工作网络环境的情况以及所安装的移动应用等各种IT信息存在的漏洞。目前相关信息并未列为敏感信息,因此员工在这些方面的安全意识有待加强。1.2攻击进入阶段的安全防护现状根据收集到的信息,利用当前系统或已安装应用软件、常去网站存在的漏洞,包括已发布的,或者寻找尚未发布的Oday漏洞,再结合当前设备所安装的杀毒软件以及其他检测工具版本所使用的漏洞库,将渗透工具进行免杀处理,从而绕过安全防御系统的检测。目前现有的杀毒软件基本难以防御

6、此类攻击,安全审计系统由于缺少数据来源也无法发现相关问题,导致个人终端极易被攻破。1.3命令与控制阶段的安全防护现状攻击者获取个人终端控制权后,将采取措施维持控制权,通常采用僵尸网络。目前僵尸网络已出现各种加密通信信道、利用现有协议冗余字段进行控制,以避免IDS、防火墙或其他方式的网络侦听。在这种形势下,缺少网络流量异常分析工具,将难以检测到终端被控事件。1.4横向扩展与资料发掘阶段的安全防护现状在受害人被控制后,攻击者会不断搜集其计算机里的资料,通过访问通讯录等功能,轻易获取目标网络中更多的受害者。当攻击者获得足够多信息的时候,在目标网络中找出放有敏感信

7、息的重要计算机,就会利用受害者社交或办公账户向更近的目标,采用社会工程学、0Day工具、P嬲stheHash以及暴力法等手段获取管理员权限。而目前单位防御体系注重网络边界防护,对内部的防护和审计相对较弱,虽然企业启用了运维堡垒机,但攻击者可以通过正常用户的访问方式长期、少量的发掘资料。1.5资料窃取阶段的安全防护现状在资料窃取阶段,攻击者主要在发掘自己有用的数据,紧接着,通过控制的客户端,分布式地使用合法加密的数据通道、Tof匿名网络甚至基于时间的隐蔽信道等隐蔽、长期的把偷窃到的数据上传到控制服务器,完全绕开了企业的安全审计和安全设备的保护。1.6潜伏/撤

8、离阶段的安全防护现状在潜伏阶段,攻击者为躲避安全设备检测或反病毒软

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。